概述
我们在之前的文章介绍了如何使用 Fluent Bit 结合 Amazon Kinesis Data Streams、Amazon Lambda 以及 Amazon OpenSearch Search 在同账户下构建应用日志系统。但是在有些场景下,企业可能会存在多个账户,因为企业内控的需要,管理员希望能够将各个账户下的应用日志通过 Private Link 传输到指定账户下,进行集中化的日志处理或审计。本篇文章中关于使用 Amazon Lambda 将日志写入 Amazon OpenSearch Service 中是基于上一篇博客介绍的内容,如果您之前没有阅读过《使用 Fluent Bit 与 Amazon OpenSearch Service 构建日志系统》,建议您先点击这里阅读 https://aws.amazon.com/cn/blo...。通过本文,您将了解到如何通过 Fluent Bit 结合 Amazon STS AssumeRole、Amazon Kinesis Data Streams 等服务,在跨账户的场景下进行集中化日志处理。阅读本文,您将会了解到:
- 如何通过 Amazon Role Trust Relationship 与 Amazon STS AssumeRole 配置跨账户传输日志权限
- 如何通过 Amazon for Fluent Bit 2.21.1 跨账户传输日志
简要说明
下面我们基于下图的总体架构,以 us-west-2 为例,详细讲解一下整个的实现过程。
在开始之前,我们考虑这样一种场景。我们在 Amazon Web Services 账户 A 的 EC2 中部署了 Nginx,用于构建我们的 Web Server,并将账户 A 的 Amazon EC2 的 Nginx 日志通过 Private Link,发送到 B 账户的 Amazon Kinesis Data Stream 里。关于B账户的 Amazon Lambda 与 Amazon Kinesis Data Stream 以及 VPC Endpoint、 Amazon OpenSearch Service 服务的创建,可以参考我们之前文章。
1、如何通过 Amazon Role Trust Relationship 与 Amazon STS AssumeRole 配置跨账户传输日志权限
我们先登录 B 账户,这里我们使用 us-west-2 区域,在 IAM 服务中创建一个角色,如下图所示:选择信任的实体类型处选择另一个账户,并输入账户 A 的 ID。
点击下一步,创建策略,策略文档参考如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "arn:aws:kinesis:us-west-2:<YOUR ACCOUNT ID>:stream/LogStream"
}
]
}左滑查看更多
注意:请将替换成您所使用的 B 账户 ID,创建角色名称为 demo-writing-kds。
- 登录 A 账户,同样选择 us-west-2 区域。创建 Amazon EC2,并安装 Fluent Bit。安装步骤同样可以参考我们之前文章的“安装与配置 Amazon for Fluent Bit 2.21.1”部分,安装过程我们可以将 /etc/fluent-bit/conf/fluent-bit.conf 文件内容设置为空。
- 为 Amazon EC2 创建新的 IAM 角色,“use cases”我们选择 Amazon EC2,点击 Next, 创建策略,配置 Amazon STS AssumeRole,策略文档参考如下:
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "<demo-writing-kds>"
}]
}左滑查看更多
注意:请将替换成您在前面步骤所创建 demo-writing-kds 角色的 ARN,该角色在 B 账户中。
2、配置 Amazon for Fluent Bit 2.21.1 通过 Private Link 跨账户传输日志
我们还是在 A 账户下选择 us-west-2 区域。注意,以下场景不需要在 A 账户下创建 Amazon Kinesis Data Stream。
- 让 Amazon EC2 通过 Private Link 访问 B 账户的 Amazon Kinesis Data Streams。创建 Amazon Kinesis Data Streams 的 VPC Endpoint,为了简化,在选择 VPC 时我们可以选择 Amazon EC2 所在的 VPC。
若创建新的安全组,安全组的入站规则需添加允许来自于 Amazon EC2 的所属安全组访问 443 端口,入站规则参考下图:
- 登录 Amazon EC2,编辑/etc/fluent-bit/conf/fluent-bit.conf文件,为 Fluent Bit 的 output 插件“kinesis_streams”配置 Arn,完整配置文件内容参考如下:
[ SERVICE]
Flush 5
Daemon off
Log_Level info
Log_File /tmp/fluent-bit.log
Storage.path /tmp/chunks-buffer
Storage.backlog.mem_limit 5M
[INPUT]
Name tail
# log file location
Path /var/log/nginx/access.log
Tag nginx-log
Read_from_head true
#use this as checkpoint
DB /tmp/checkpoint-nginx.db
DB.Sync Normal
[OUTPUT]
Name kinesis_streams
# Match Tag
Match nginx-log
# AWS region
Region us-west-2
# Kinesis stream name
Stream LogStream
Arn <demo-writing-kds>
Retry_Limit False
Auto_retry_requests True左滑查看更多
同样,我们需要将替换成 demo-writing-kds 角色的 ARN
- 启动 Fluent Bit,查看日志,验证是否成功。
- 登录 Amazon OpenSearch Service 的 dashboard,您即可看到写入的日志。
注意:如果想了接如何通过 Amazon Lambda 消费 Amazon Kinesis Data Stream 的日志消息,并将日志写入到 Amazon OpenSearch Service 中,可以点击这里了解。关于如何通过公网方式使用 Nginx 代理方式访问 VPC 内的 OpenSearch dashboard,大家可以参考我们的官方文档 https://docs.aws.amazon.com/o...。
总结
在本文中,我们介绍了如何通过开源日志收集工具 Fluent Bit,在多账户的场景下结合 Amazon Role Trust Relationship 与 Amazon STS AssumeRole,并且通过使用 VPC Endpoint,我们还可以用内网访问 Kinesis Data Streams,从而满足企业内控的需要。在实际使用时,我们也需要注意跨账户使用 VPC Endpoint 连接 Kinesis Data Streams 时,两个账户下对应的服务必须处于相同的 Region,企业可以结合自身实际情况来决定是否启用 VPC Endpoint。
参考资料
- VPC endpoints 资料:
- Fluent Bit 资料:
本篇作者
马涛
亚马逊云科技解决方案研发架构师
主要负责云上解决方案的设计与研发。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。